在線帳戶(hù)被劫持和濫用是每天發(fā)生的事情，但您是否知道帳戶(hù)劫持前攻擊也是可能的？受以前關(guān)于通過(guò)單點(diǎn)登錄（SSO）技術(shù)進(jìn)行搶先式帳戶(hù)劫持的研究的啟發(fā)，研究人員Avinash Sudhodanan和Andrew Paverd希望了解攻擊者在受害者創(chuàng)建帳戶(hù)之前執(zhí)行的操作是否允許前者在受害者創(chuàng)建/恢復(fù)帳戶(hù)后獲得訪問(wèn)權(quán)限。

令人沮喪的是，他們發(fā)現(xiàn)不僅有幾種方法可以發(fā)起帳戶(hù)劫持前攻擊，而且在他們測(cè)試的75個(gè)流行網(wǎng)站和在線服務(wù)中，至少有35個(gè)容易受到一個(gè)或多個(gè)變體的攻擊。其中包括Instagram，LinkedIn，Dropbox，Zoom和?WordPress.com。

出現(xiàn)可利用的安全漏洞的部分原因是許多服務(wù)支持（至少）兩種不同的帳戶(hù)創(chuàng)建路由：“經(jīng)典”（用戶(hù)選擇用戶(hù)名/密碼）和聯(lián)合路由（通過(guò)身份提供商進(jìn)行SSO，例如，“使用Microsoft/Google/LinkedIn/等登錄”

“從根本上說(shuō)，帳戶(hù)預(yù)劫持漏洞的根本原因是服務(wù)未能在允許使用帳戶(hù)之前驗(yàn)證用戶(hù)是否實(shí)際擁有提供的標(biāo)識(shí)符（例如電子郵件地址或電話號(hào)碼），”P(pán)averd解釋說(shuō)。

“盡管許多服務(wù)需要標(biāo)識(shí)符驗(yàn)證，但它們通常是異步進(jìn)行的，允許用戶(hù)（或攻擊者）在驗(yàn)證標(biāo)識(shí)符之前使用帳戶(hù)的某些功能。雖然這可能會(huì)提高可用性，但它為劫持前攻擊創(chuàng)造了一個(gè)漏洞窗口。

研究人員確定了五種類(lèi)型的劫持前攻擊：

經(jīng)典聯(lián)合合并攻擊：

使用受害者的電子郵件地址，攻擊者通過(guò)“經(jīng)典”路由創(chuàng)建帳戶(hù)?->?受害者稍后通過(guò)“聯(lián)合”路由（使用相同的電子郵件地址）創(chuàng)建帳戶(hù)?->?服務(wù)將這兩個(gè)帳戶(hù)合并不安全，攻擊者仍然可以訪問(wèn)該帳戶(hù)。

未過(guò)期會(huì)話標(biāo)識(shí)符攻擊：

攻擊者使用受害者的電子郵件地址，通過(guò)“經(jīng)典”路由創(chuàng)建一個(gè)帳戶(hù)，并維護(hù)一個(gè)長(zhǎng)時(shí)間運(yùn)行的活動(dòng)會(huì)話?->?受害者使用相同的電子郵件地址“恢復(fù)”帳戶(hù)?->?如果密碼重置未使攻擊者的會(huì)話失效，則攻擊者將保留對(duì)該帳戶(hù)的訪問(wèn)權(quán)限。

木馬標(biāo)識(shí)符攻擊：

攻擊者使用受害者的電子郵件地址，通過(guò)“經(jīng)典”路由創(chuàng)建一個(gè)帳戶(hù)?->?攻擊者向帳戶(hù)添加特洛伊木馬標(biāo)識(shí)符（例如攻擊者的聯(lián)合身份或其他攻擊者控制的電子郵件地址或電話號(hào)碼）?->?當(dāng)受害者重置密碼時(shí)，攻擊者可以使用此木馬標(biāo)識(shí)符重新獲得對(duì)帳戶(hù)的訪問(wèn)權(quán)限（例如，通過(guò)重置密碼）。

未過(guò)期的電子郵件更改攻擊：

攻擊者使用受害者的電子郵件地址創(chuàng)建一個(gè)帳戶(hù)，并開(kāi)始將帳戶(hù)的電子郵件地址更改為攻擊者自己的電子郵件地址的過(guò)程?- >該服務(wù)向攻擊者的電子郵件地址發(fā)送驗(yàn)證URL，但攻擊者僅在受害者恢復(fù)帳戶(hù)并開(kāi)始使用它后才確認(rèn)更改。

非驗(yàn)證?IdP?攻擊：

攻擊者利用的?IdP?在創(chuàng)建聯(lián)合身份時(shí)不驗(yàn)證電子郵件地址的所有權(quán)?->?攻擊者在目標(biāo)服務(wù)中創(chuàng)建一個(gè)帳戶(hù)，并等待受害者使用“經(jīng)典”路由創(chuàng)建帳戶(hù)?->?如果服務(wù)根據(jù)電子郵件地址錯(cuò)誤地合并了兩個(gè)帳戶(hù)， 攻擊者可以訪問(wèn)受害者的帳戶(hù)。

對(duì)于所有這些攻擊，攻擊者必須知道/發(fā)現(xiàn)目標(biāo)的電子郵件地址?-?在這個(gè)數(shù)字時(shí)代這是一個(gè)相對(duì)容易的壯舉?-?并確定受害者沒(méi)有帳戶(hù)的服務(wù)（但將來(lái)可能會(huì)創(chuàng)建一個(gè)帳戶(hù)）。

“攻擊者可能會(huì)觀察到服務(wù)（例如，當(dāng)人們需要在家工作時(shí)的視頻會(huì)議服務(wù)）的受歡迎程度普遍增加，并使用通過(guò)網(wǎng)站抓取或憑據(jù)轉(zhuǎn)儲(chǔ)找到的電子郵件地址為該服務(wù)預(yù)劫持帳戶(hù)，”他解釋說(shuō)。

或者，作為另一個(gè)例子，攻擊者可能會(huì)針對(duì)在一個(gè)平臺(tái)上具有強(qiáng)大影響力的社交媒體“影響者”，并在另一個(gè)社交媒體平臺(tái)上預(yù)先劫持他們的帳戶(hù)，該平臺(tái)正在迅速成為“下一件大事”。

在線服務(wù)和最終用戶(hù)可以做什么？

研究人員已經(jīng)將他們發(fā)現(xiàn)的漏洞通知了35個(gè)在線服務(wù)，并確認(rèn)指定的在線服務(wù)已經(jīng)修復(fù)了它們。希望其他人也已經(jīng)或正在這樣做。

“但是，除了我們分析的75個(gè)網(wǎng)站和在線服務(wù)之外，其他網(wǎng)站和在線服務(wù)也極有可能容易受到這些攻擊，”P(pán)averd說(shuō)，并詳細(xì)說(shuō)明了他們可能實(shí)施的幾種針對(duì)帳戶(hù)創(chuàng)建的縱深防御安全措施，以確保無(wú)法執(zhí)行這些攻擊。

最終用戶(hù)還可以采取一些措施來(lái)保護(hù)自己免受劫持前攻擊：他們可以在創(chuàng)建帳戶(hù)后立即對(duì)其帳戶(hù)啟用多重身份驗(yàn)證?（MFA）。

“正確實(shí)現(xiàn)的MFA將防止攻擊者在受害者開(kāi)始使用此帳戶(hù)后對(duì)預(yù)劫持的帳戶(hù)進(jìn)行身份驗(yàn)證。該服務(wù)還必須使激活MFA之前創(chuàng)建的任何會(huì)話無(wú)效，以防止未過(guò)期會(huì)話攻擊?！盤(pán)averd總結(jié)道。

原文轉(zhuǎn)自csoonline，超級(jí)科技譯，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明出處和原文譯者為超級(jí)科技！

Hi，我是超級(jí)科技

超級(jí)科技是信息安全專(zhuān)家，能無(wú)上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！